POLITICAS DE SEGURIDAD DE LA INFORMACION EN ADV.
TABLA DE CONTENIDO
INTRODUCCION ............................................................................................................................................................................... 3 POLITICAS GENERALES Y BUENAS PRACTICAS POR PARTE DE EMPLEADOS .......................................................... 3 POLITICA DE ACCESO A INTERNET ...................................................................................................................................... 6 SIS-PO-01 ...................................................................................................................................................................................... 6 POLITICA DE ACCESO LOGICO............................................................................................................................................... 8 SIS-PO-02 ...................................................................................................................................................................................... 8 POLITICA DE CONTROL AL SOFTWARE ............................................................................................................................. 11 SIS-PO-03 .................................................................................................................................................................................... 11 ACCESO A LAS ESTACIONES DE TRABAJO ...................................................................................................................... 13 SIS-PO-04 .................................................................................................................................................................................... 13 CONFIDENCIALIDAD DE LAS CONTRASEÑAS .................................................................................................................. 14 SIS-PO-05 .................................................................................................................................................................................... 14 POLITICAS DE INGENIERIA SOCIAL ..................................................................................................................................... 16 SIS-PO-06 .................................................................................................................................................................................... 16 CONTROL DE ACCESO AL AREA DE SISTEMAS Y CENTRO DE DATOS ................................................................... 19 SIS-PO-07 .................................................................................................................................................................................... 19 POLITICAS DE CATALOGACION DE LA INFORMACION .................................................................................................. 20 SIS-PO-08 .................................................................................................................................................................................... 20 POLITICAS PARA EL CONTROL DE HARDWARE .............................................................................................................. 22 SIS-PO-09 .................................................................................................................................................................................... 22 POLÍTICA DE USO DE CORREO ELECTRÓNICO .............................................................................................................. 25 POLITICA DE PLAN DE CONTINGENCIA Y CONTINUIDAD DE NEGOCIO .................................................................. 29 SIS-PO-11 .................................................................................................................................................................................... 29
INTRODUCCION Las empresas modernas, cada vez más dependientes de la tecnología, enfrentan una gran cantidad de peligros por cuenta de las herramientas que apoyan su negocio. Virus, spyware, adware, keyloggers, phishing y spam, entre otros, son un riesgo constante y silencioso que acecha en cada computador conectado a Internet. Sin embargo, es posible que los principales daños sean causados, de forma voluntaria o accidental, por los propios empleados. Incluso es posible que los trabajadores se vean involucrados sin intención en delitos que incluyen el robo de datos críticos de la compañía o la suplantación de identidad. Un portátil repleto de información de la empresa que le roban a un empleado en un viaje (cuyos datos no están codificados), una memoria USB con información confidencial que se deja olvidada en algún sitio o un correo con virus que se propaga por la red interna por cuenta del empleado que abrió un archivo anexo son algunos ejemplos de acciones involuntarias que generan un gran daño a una compañía. Esto se podría evitar con ciertas políticas de seguridad informática, razón de este manual donde se especifican las policitas y buenas prácticas a tener en cuenta por parte de los empleados de ADV S.A.
POLITICAS GENERALES Y BUENAS PRACTICAS POR PARTE DE EMPLEADOS
1. ADV S.A. tiene licencias de todos los programas de software que utiliza. La empresa no es propietaria de ese software o de sus manuales y, a menos que reciba autorización del titular de los derechos de autor del software, no tiene derecho a reproducirlo. 2. Cualquier copia de un programa de computador, excepto aquellas hechas con fines de seguridad o archivo, es una violación de la legislación sobre derechos de autor de las políticas de la empresa. Cada programa que la empresa adquiere legalmente es para uso exclusivo de una solo computador a la vez. Si el computador tiene una copia de un software instalada en el disco duro, ese programa no debe ser copiado en ningún otro disco duro. 3. Los empleados de la empresa en conocimiento de cualquier uso indebido del software, deberán notificar este hecho al jefe de su departamento o al Oficial de Seguridad de la Información para que tome las acciones del caso. 4. De acuerdo con la ley 603 de Derechos de Autor toda persona que participe en la reproducción ilegal de programas de computadores puede ser sancionado con el pago de daños y perjuicios y penas, incluyendo multas y prisión, de acuerdo con la Ley 23 de 1.982. 5. ADV S.A. no permite la copia ilegal de programas. Los empleados que violen acuerdos de licencias de software son sujetos a acciones disciplinarias, incluso a su despido. 6. AUDITORIA.- En cualquier momento se efectuarán auditorías a los diferentes computadores de la Compañía, con el fin de verificar que no se encuentre software no autorizado o no legalizado. 7. Los programas autorizados por el Departamento de Sistemas de ADV S.A. son: Microsoft Office Microsoft Outlook Microsoft Windows
Antivirus Kaspersky Acrobat Reader
SARA ERP-Priority
NOTA: Si usted tiene otra aplicación o software distinto al mencionado anteriormente, debe reportarlo a su jefe inmediato, quién a su vez mediante un mail lo dará a conocer al Oficial de Seguridad de la Información para su respectiva autorización de uso. 8. La tecnología informática – hardware, software, redes y la información que contienen – son propiedad de ADV S.A. y son de fundamental importancia para el éxito del negocio. Toda persona que utiliza una computadora tiene la responsabilidad de utilizar estos recursos correctamente y para los fines comerciales para los que fueron creados. Esto significa que: •
Las computadoras de la compañía deben utilizarse de manera responsable y principalmente para fines comerciales legítimos. El uso personal de las mismas deberá ser razonable y mínimo.
•
La seguridad de los sistemas de computación, incluyendo los datos corporativos, comunicaciones electrónicas y aplicaciones (software), deben estar protegidos todo el tiempo.
•
Las comunicaciones electrónicas que pueden considerarse ofensivas, derogatorias, difamatorias, hostiles, obscenas o vulgares están prohibidas.
•
Nunca se deben utilizar los sistemas de comunicación electrónicas de la compañía para divulgar incorrectamente materiales con derechos de propiedad intelectual o protegidos bajo licencia.
•
Siempre debemos proteger la información utilizada para acceder a las redes de la compañía, incluidos los nombres de usuario y contraseña.
•
ADV S.A. tiene derecho a acceder y revisar todas las comunicaciones, registros e información creados en el trabajo o con los recursos de la compañía. o
Si necesita saber si un tipo de información en particular se puede enviar por correo electrónico, hable con su jefe inmediato. Para obtener información acerca de la seguridad de las computadoras y las redes, comuníquese con el departamento de Tecnología.
9. Información Confidencial, Propiedad Intelectual e Información Propiedad de Terceros Nuestra Compañía continuamente desarrolla ideas, estrategias y otro tipo de información comercial valiosa, la cual no es del dominio público. ADV S.A. es dueña de esta información confidencial así como lo es de otros tipos de bienes, tales como bases de datos de ventas, de marketing y otros tipos de bases de datos de la compañía; estrategias y planes de marketing; información de precios; registros de clientes y empleados; propuestas y desarrollo de productos nuevos, etc. Debido a que esta información es el resultado del trabajo arduo de nuestra compañía, varias leyes permiten que ADV S.A. proteja dicha información del uso que personas ajenas puedan hacer, siempre y cuando hagamos lo mejor posible por mantener la información con carácter confidencial. Esto significa que: •
Todos los empleados deben proteger la confidencialidad de la información de propiedad de ADV S.A. para garantizar que recibamos los beneficios de nuestro trabajo.
•
Debemos respetar el acuerdo de confidencialidad que firmamos cuando comenzamos a trabajar en ADV S.A.
•
No debemos hablar de dicha información confidencial en lugares públicos donde otros puedan escuchar.
•
No debemos transmitir información confidencial a través de Internet, ni siquiera entre empleados de la compañía.
•
Si necesita divulgar información confidencial entre personas ajenas a la compañía, deberá solicitar una autorización previa por escrito a su gerente y un acuerdo de confidencialidad por escrito aprobado por el Oficial de Seguridad de la Información o asesor legal.
Pregunta frecuente:
P. Me retiro de ADV S.A. para trabajar con otra compañía. Después de irme ya no tengo ninguna obligación de confidencialidad para con ADV S.A., no es cierto? R. Si, la tiene. El acuerdo de confidencialidad que firmo cuando comenzó a trabajar, continua vigente incluso después de abandonar la compañía.
10. Bienes y Tiempo de la Compañía Los bienes de la compañía se utilizan únicamente para las operaciones comerciales de la misma. El uso que hacemos de los bienes y el tiempo de la compañía afecta directamente nuestra rentabilidad, así que debemos utilizar estos activos valiosos con mucho cuidado y protegerlos de la malversación o el robo. Esto significa que: •
Se espera que los empleados demuestren responsabilidad en su trabajo y hagan uso del buen juicio al utilizar los bienes de la compañía.
•
El uso personal ocasional de los activos está permitido siempre que la duración y la frecuencia sean razonables y no consuman una cantidad de recursos significativa.
•
Los activos de la compañía deberán protegerse de la malversación, desviación o el robo. Toda sospecha de adulteración, robo o falta de control interno de los productos u otros activos deberá reportarse al Oficial de Seguridad de la Información.
•
Durante horas de trabajo, no permita que intereses externos interfieran con sus responsabilidades laborales.
•
Si debe informar las horas trabajadas, hágalo correcta y sinceramente.
POLITICA DE ACCESO A INTERNET SIS-PO-01 OBJETIVO
ALCANCE
Establecer y difundir las políticas relacionadas con el manejo y control de utilización de Internet, de tal forma que se garantice el normal y efectivo uso de ésta herramienta. A nivel nacional para todos los funcionarios de ADV S.A., tanto en la oficina principal como en Sucursales y todo usuario de la red de ADV S.A. DESARROLLO DE LA POLITICA
1.1 Políticas Generales 1.1.1 Los empleados son responsables por usar los sistemas de comunicación de ADV, de una manera adecuada, ética y legal y en concordancia con la presente política. 1.1.2 Las solicitudes de acceso a Internet deben ser solicitadas únicamente por gerentes quienes deberán validar la necesidad de las herramienta frente a las funciones del cargo y debe ser aprobada por la Gerencia. 1.2 Políticas Especificas 1.2.1 Políticas de Uso de Acceso a Internet: 1.2.1.1 Está permitido el acceso a páginas de información Financiera, técnica, comercial, cultural, etc. a las cuales por desarrollo de las actividades propias de cada puesto de trabajo sea necesario ingresar para consultar información que mejore nuestras labores diarias. 1.2.1.2 El uso del acceso a Internet será única y exclusivamente para propósitos laborales. 1.2.1.3 El uso de la herramienta para propósitos informativos, sólo podrá hacerse en horario “No Laboral”. 1.2.2 Los Funcionarios de ADV S.A. NO podrán utilizar el Acceso a Internet para los siguientes propósitos: •
Utilizar los recursos de la red de ADV S.A. para acceder sin las autorizaciones correspondientes a redes y sistemas remotos.
•
Utilizar los servicios de red para juegos a través del servicio de Internet.
•
Utilizar los servicios de red para contenido multimedia en línea catalogados como “streaming de audio o video”. P.ej: Youtube, radio, etc.
•
Utilizar los servicios de red para ver cualquier tipo de material considerado como pornográfico, ofensivo, discriminatorio o ilegal según las políticas internas de ADV S.A.
•
Utilizar el acceso a Internet para el ingreso a páginas de Internet que ofrezcan servicios de e - mail gratuito como Yahoo, Hotmail, etc.
•
Utilizar los servicios de Internet para enviar archivos que sean confidenciales y de propiedad exclusiva de ADV S.A. El área de tecnología reportara a la Gerencia los archivos que salgan de la compañía por medio de los accesos de Internet para su verificación, control y si es necesario llevara el caso a Recursos Humanos
para la aplicación de las sanciones disciplinarias respectivas, además de las consecuencias de índole legal que sean aplicables. •
Cualquier actividad que sea lucrativa o comercial de carácter individual, privado o para negocio particular.
•
Utilizar los servicios de Internet para la transmisión, distribución, almacenamiento de cualquier material protegido por las leyes vigentes. Esto incluye sin limitación alguna, todo material protegido por derechos de autor (copyright), Marcas registradas, secretos comerciales u otros de propiedad intelectual.
•
Perjudicar a menores de manera alguna.
•
El acceso no autorizado o cualquier intento de prueba, verificación o rastreo (scan) de vulnerabilidad de un sistema o red, violando las medidas de seguridad o de autenticación sin la expresa autorización del propietario del sistema o de la red.
•
La interferencia con el servicio de cualquier usuario, huésped (host) o red, incluyendo el envío de correo no solicitado en grandes cantidades destinado a paralizar un servidor (mailbombing), inundaciones (flooding), intentos de sobrecargar (overload) el sistema y de ataques anunciados (broadcast attacks).
•
Hacerse pasar por o fingir ser cualquier otra persona o entidad, incluyendo, sin limitación o de cualquier otro modo de mentir o fingir sobre su relación con cualquier otra persona o afiliación a cualquier entidad.
•
Falsificar rúbricas o de otro modo manipular identificativos con el fin de disfrazar la naturaleza del contenido transmitido a través del Servicio.
•
“Acechar” o de algún modo hostigar a terceros, o recoger o almacenar información personal sobre otros usuarios.
•
No se podrán utilizar los servicios de Internet corporativo para establecer sesiones de Chat.
1.2.3 Los Password de acceso a Internet (que son las mismas de la red) deben ser estrictamente confidenciales y personales para asegurar un alto nivel de seguridad en la red de comunicaciones de ADV S.A. y debe ser usadas a la luz de las Políticas establecidas por la compañía para ello. 1.2.4 Los servicios de Internet deben ser monitoreados, por lo tanto cualquier material descargado o de cualquier modo obtenido a través del uso del Servicio se realiza a su exclusiva discreción y riesgo y el funcionario será el único responsable por cualquier daño producido a su sistema informático o por cualquier pérdida de datos derivada de descargar dicho material. 1.2.5 La Coordinación de Tecnología debe restringir el acceso a paginas que se consideren no necesarias para las labores de los funcionarios autorizados al acceso de Internet, como pueden ser paginas de servicios de e-mail públicos, información cultural, información deportiva, etc.
POLITICA DE ACCESO LOGICO SIS-PO-02 OBJETIVO
ALCANCE
Establecer y dar a conocer las políticas relacionadas con el control de acceso lógico, dirigido hacia la restricción del acceso a los recursos del sistema a personas no autorizadas. Aplica a todas las personas que se autoricen a utilizar los sistemas de información de la compañía, a nivel nacional. DESARROLLO DE LA POLITICA
1. DEFINICIONES: 1.1 Acceso Lógico: acciones encaminadas a garantizar la seguridad de la información ante ataques, manipulaciones o pérdidas de información. El acceso lógico incluye: • Sistemas de información. • Gestión de los accesos. • Seguridad de los contenidos. 1.2 Usuarios Autorizados: empleados vendedores, contratantes, visitantes y cualquier persona que haga uso del sistema de información de la compañía. 1.3 Red: Sistema de computadores y hosts interconectados que comparten información.
1.4 Sistema Operativo: Programas que permiten a un usuario final con instrucciones entendibles operar, trabajar y utilizar las funciones de un computador. 1.5 Aplicaciones de Acceso Remoto: Conjunto de programas que permiten acceder desde un lugar externo a los sistemas de información de la compañía.
1.6 Aplicaciones Locales: conjunto de programas que permite acceder los sistemas de información en el mismo sitio donde se encuentran los ordenadores que la contienen. 2.1 Políticas Generales: 2.1.1 La meta de las políticas de control de acceso lógico que se implementen en la compañía debe dirigirse hacia la restricción del acceso a los recursos del sistema y a procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas y/o Usuarios Autorizados. 2.1.2 La Autenticación debe implantar mecanismos de verificación que permitan identificar quien es el usuario y que tiene autorizado a través de mecanismos de usuarios, contraseñas, biométricos, tokens o cualquiera que permita identificar quien es el usuario. 2.1.3 Los mecanismos implementados deben establecer periodos de vigencia y renovación. 2.1.4 Como mínimo deben establecerse controles para el acceso a los sistemas de Redes, sistemas Operativos, aplicaciones locales y de acceso remoto. 2.1.5 Deben existir procedimientos para adicionar, eliminar, borrar accesos a los sistemas de información de la compañía.
2.2 Políticas Especificas: 2.2.1 Políticas relacionadas con Redes (networking) 2.2.1.1 Los elementos de redes deben implementar mecanismos de autenticación de acceso a los datos de configuración. 2.2.1.2 Los administradores de la red implementarán las políticas estándares y procedimientos de las operaciones diarias. 2.2.1.3 Deben establecerse mecanismos de control que medien el acceso entre diferentes dominios de seguridad tales como Firewall. Todo el tráfico de dominios seguros debe pasar por estos mecanismos, sin importar la dirección del flujo de los datos. 2.2.1.4 Los mecanismos de control como Firewalls deben mantener actualizado como mínimo: • • • • • • • • •
La topología del hardware y su arquitectura Tipos de firewalls que se utilizan Ubicación física de sus componentes Monitoreo del tráfico del firewall Trafico que se permite Información de actualizaciones del firewall Protocolos y aplicativos permitidos Plan de contingencia Pruebas de efectividad de seguridad. 2.2.2 Políticas relacionadas con sistemas operativos 2.2.2.1 Deben implementarse controles de acceso a los software operativo de los diferentes sistemas, incluyendo los clientes de red, servidores y sistemas stand-alone. 2.2.2.2 El software del sistema incluye el sistema operativo y las utilidades que este tenga instalada. 2.2.2.3 Los administradores y auditores deben conocer y entender las vulnerabilidades comunes y las apropiadas estrategias de mitigación para sus sistemas operativos. 2.2.2.4 Los administradores de los sistemas operativos deben ser personas con la adecuada experiencia para configurar y administrar de forma segura los sistemas operativos. 2.2.2.5 Se debe asegurar los métodos de autenticación efectiva para restringir el acceso al software del sistema tanto para usuarios como para aplicaciones. 2.2.2.6 Deben activarse los mecanismos mínimos de seguimiento y auditoria de los sistemas operativos. 2.2.2.7 Se restringirán los accesos a utilitarios de acceso a datos del sistema. 2.2.2.8 Se restringirá el acceso a las terminales críticas de acceso a los sistemas de información. 2.2.2.9 Se restringirá el acceso a parámetros generales de los sistemas operativos.
2.2.2.10 Se restringirá el acceso remoto a parámetros del sistema operativo. 2.2.2.11 Se actualizara el sistema operativo con los parches, o programas de arreglo recomendados por el proveedor. 2.2.3 Políticas relacionadas con el Acceso a los aplicativos 2.2.3.1 Los aplicativos de misión crítica deben incorporar apropiados accesos de control que restrinjan cuales funciones de la aplicación están disponibles para usuarios y aplicaciones. 2.2.3.2 Los aplicativos deben incorporar mecanismos de acceso a sus opciones a través de mecanismos internos o nativos del sistema operativo donde resida. 2.2.3.3 Los entes de control de la compañía deben monitorear periódicamente los derechos de acceso de los usuarios y aplicaciones para asegurar que los usuarios tienen el acceso mínimo requerido propios de su responsabilidad. 2.2.4 Políticas relacionadas con Acceso Remoto 2.2.4.1 Los accesos remotos a los sistemas de información deben ser por medio de procesos de autorización y aprobación por entes asignados por la compañía.
2.2.4.2 Los mecanismos de acceso remoto deben integrarse como elementos de seguridad de las redes y deben seguir las políticas que se implementen en ellos.
POLITICA DE CONTROL AL SOFTWARE SIS-PO-03 OBJETIVO
La política de control al software tiene como objetivo el establecer las normas que rigen la utilización del software instalado por ADV S.A., así como las normas que rigen el software no autorizado instalado. Las normas establecidas en esta política cubren los esquemas de licenciamiento actual de ADV S.A., pero no están limitadas, por lo cuál se podrán tomar decisiones adicionales o complementarias a dichas normas. Aplica para todas la personas que estén conectadas a la red de ADV S.A.
ALCANCE Rige para todo tipo de software, a continuación se describen algunos ejemplos: • Sistemas Operativos:, Ej: Windows 95, Windows 98, Windows XP, Windows 2000, Windows Vista, Windows 7, etc. • Utilitarios de Oficina:, Ej: Word, Excel, Power Point, Project, etc. • Herramientas de Graficación:, Ej: Visio, Corel Draw, etc. • Administradores de Bases de Datos:, Ej: Access, SQL, DB2, etc. • Otros:, Ej: Enciclopedias, juegos, Software para ejecución de archivos MP3, etc.
DESARROLLO DE LA POLITICA 1. Políticas Generales 1.1. El Software solo podrá ser instalados por el personal de Tecnología de ADV previa autorización del Coordinador de Soluciones Tecnológicas, el Software no incluido dentro del estándar deberá ser solicitado únicamente por los Gerentes o Directores con aprobación del Gerente, El Departamento de Tecnología hará un estudio técnico del producto así como un análisis Costo/Beneficio del mismo y definirá si se autoriza o no la compra del software. 1.2. Toda adquisición de Software nuevo que sea necesario para el soporte de actividades de las diferentes áreas será adquirido a través del área de Tecnología, quien finalmente administrará la licencia y los medios, ningún funcionario de la compañía está autorizado para adquirir software sin la aprobación del área de Tecnología.
1.3. El Área de Soluciones Tecnológicas implementará los controles necesarios y reportará mensualmente al comité de Seguridad de la Información, los usuarios que tienen instalado software no autorizado con el fin de tomar las acciones necesarias para garantizar el cumplimiento de esta política. 1.4. El área de Tecnología podrá mediante la utilización del software de control de Inventarios de Hardware y Software hacer auditorias permanentes a los computadores y podrá desinstalar cualquier software no autorizado y no reportado sin previo aviso, archivos de usuario que se consideren como material irrespetuoso o pornográfico, así como también archivos de música. Y todo otro que no sea autorizado por la compañía. Adicionalmente se reportara a la Gerencia y a Recursos Humanos sobre el resultado de dichas revisiones.
1.5. Toda persona conectada a la red de ADV que detecte alg煤n tipo de Software Ilegal debe informar de inmediato al Oficial De Seguridad de la Informaci贸n para realizar el procedimiento respectivo de desinstalaci贸n de este.
ACCESO A LAS ESTACIONES DE TRABAJO
SIS-PO-04 OBJETIVO
Velar por la confidencialidad de la información almacenada en las estaciones de trabajo cuya responsabilidad está en cabeza de algún usuario específico.
ALCANCE
Aplica para todas la personas que estén conectadas a la red de ADV S.A.
DESARROLLO DE LA POLITICA 1. Políticas Generales El personal que no es titular de un computador ó estación de trabajo no puede acceder en cualquier computador de la Compañía a menos que: 1. Obtenga autorización expresa del usuario responsable o jefe del usuario responsable o del encargado de la sección o área de la cual se quiere usar el computador. 2. Cuente con un usuario y clave para acceder a la red a través de esa estación de trabajo o computador.
3. Se haga responsable por la información existente en el computador que piensa usar. Si algún usuario de la Compañía omite las anteriores recomendaciones y usa un computador que no está bajo su responsabilidad corre el riesgo de ser inculpado por pérdida de archivos previa demostración por parte de nuestros sistemas de seguridad y logs del sistema que comprueben esto. Las políticas que sancionan este hecho se aplicarán de acuerdo a las políticas de ADV.
CONFIDENCIALIDAD DE LAS CONTRASEÑAS SIS-PO-05 OBJETIVO
Velar por la confidencialidad de las contraseñas de acceso a los diferentes sistemas de la Compañía.
ALCANCE
Aplica para todas la personas que estén conectadas a la red de ADV S.A.
DESARROLLO DE LA POLITICA 2. Políticas Generales Los usuarios deben establecer contraseñas acorde con las recomendaciones dadas por el Departamento de Sistemas, las cuales son: •
Mantener las contraseñas en secreto;
•
Evitar mantener un registro en papel de las contraseñas, a menos que esta pueda ser almacenada en forma segura;
•
Cambiar las contraseñas siempre que exista un posible indicio de compromiso del sistema o de las contraseñas.
•
Seleccionar contraseñas de calidad, con una longitud mínima de ocho caracteres que:
o
Sean fácil de recordar;
o
No estén basadas en algún dato que otra persona pueda adivinar u obtener fácilmente mediante información relacionada con la persona, por ej. Nombres, números de teléfono, fecha de nacimiento, etc.;
o
No tenga caracteres idénticos consecutivos o grupos totalmente numéricos o totalmente alfabéticos.
o
Cambiar las contraseñas a intervalos regulares o según el número de acceso (las contraseñas de cuentas con privilegios deben ser modificadas con mayor frecuencia que las contraseñas comunes), y evitar reutilizar o reciclar viejas contraseñas;
o
Cambiar las contraseñas provisorias en el primer inicio de sesión.
o
No incluir contraseñas en los procesos automatizados de inicio de sesión, por ej. Aquellas almacenadas en una tecla de función o macro;
o
No compartir las contraseñas individuales de usuario;
o
Utilizar protectores de pantallas de las terminales con CONTRASEÑA;
Nunca comparta su contraseña, si lo hace debe notificar al Director de su División con copia al Coordinador de Tecnología, justificando de esta necesidad. Recuerde que la información que usted maneja es de su absoluta responsabilidad, al igual que es de su absoluta responsabilidad los eventos que sucedan bajo su usuario de red, como son: 1. Ejecución de programas no autorizados y no avalados por del Departamento de Sistemas. 2. Ingreso a páginas de Internet prohibidas por la Compañía.
3. Propagación de un virus desde el computador al cual su usuario esta registrado como usuario vigente. Si se detecta uno de estos innecesarios eventos por compartir su contraseña, usted será el responsable directo, por lo cual las sanciones pertinentes recaerán sobre la persona que comparta su contraseña.
POLITICAS DE INGENIERIA SOCIAL SIS-PO-06
OBJETIVO
ALCANCE
Establecer y dar a conocer las pautas y parámetros a seguir por parte de funcionarios y externos vinculados con la operación de las compañías ADV S.A. y sus filiales, para el manejo de la información que se suministre de manera verbal o por otro medio o para prevenir que internos o terceros no autorizados puedan acceder u obtener información sensible de la compañía o ingresar a las instalaciones de la compañía o de sus sucursales o a lugares restringidos mediante el uso de engaños o artimañas , con el propósito de cometer algún ilícito o para obtener para sí o para otros algún beneficio.
A nivel nacional para todos los funcionarios o externos vinculados con la operación de ADV y sus filiales.
DESARROLLO DE LA POLITICA 1. DEFINICIONES: a. Ingeniería Social: Se denomina así a todas aquellas conductas utilizadas por algunas personas valiéndose de la psicología, tretas o engaños para sacar información sensible o acceder a ciertos lugares, sin que la otra u otras personas se den cuenta de que las están utilizando, generalmente con malas intenciones. En términos generales la Ingeniería social consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían y se convierte en el método de ataque más sencillo a la seguridad de una compañía, el menos peligroso y el más efectivo. b. Usuario: persona conectada a la red de las compañías o a sus sistemas centrales y que utiliza estas herramientas para la realización de sus labores diarias. c.
Atacante: quien se aprovecha de la buena fe de las personas, en este caso de los usuarios, para lograr sus propósitos.
d. Psicología de Ataque: principal herramienta utilizada por las personas que desean obtener información o acceder a sitios o lugares que de otra forma no se permitirían. El atacante se aprovecha de sentimientos variados de las personas como la curiosidad, la avaricia, el sexo, la compasión, el miedo, entre otros, para engañar o persuadir a otros, sin que éstos se den cuenta que los están manipulado y lograr sus objetivos. 2. POLITICAS : 2.1 Políticas Generales: 2.1.1 Todo funcionario de la compañía debe manejar la información de la compañía y de cara a externos con los debidos cuidados y estar atento a cualquier intento por parte de terceros no autorizados o de los mismos funcionarios del área u otras áreas no autorizados por obtener información que compete solo a quien es responsable por su manejo y administración. 2.1.2 No se debe asumir como válido un comportamiento de un tercero o funcionario no autorizado que intenta recibir
favores o prebendas especiales por fuera del cumplimiento de las políticas y procedimientos de la compañía. Es importante que el responsable de custodiar la información o los funcionarios del área validen y confirmen lo que un tercero o funcionario no autorizado argumenta para acceder a información o a lugares restringidos para él. 2.1.3 Para los casos en los que un tercero o funcionario no autorizado argumenta ser conocido, amigo o tener relaciones muy cercanas con el Presidente de la compañía, o con algún gerente u otro funcionario de alto nivel, para que le permitan obtener información o acceder a las instalaciones de la compañía o a algún sitio restringido o retirar algún elemento de las instalaciones de la compañía, se debe validar directamente con la Dirección Administrativa o Tecnologías de Información. 2.1.4 Esté atento a aquellas personas que aprovechando la marcación de su tarjeta o la apertura de una puerta pasan al lado suyo e ingresan a las instalaciones de la compañía. Sin excepción, si no es funcionario de la compañía o es una persona desconocida, deberá anunciarse en la recepción para que se sigan los procedimientos establecidos de control y acceso de personas al edificio o a las oficinas de la compañía. Informe cualquier situación sospechosa a su superior, al Oficial de Seguridad de la Información o a la Gerencia. 2.1.5 Toda información recibida por vía e.mail en la que se presenten títulos invitando a abrir un archivo o a replicar hacia otros o a descargue o diligenciar información sensible de su parte, deberá ser reportada a su superior o al Oficial de Seguridad de la Información para su análisis. Absténgase de abrirlo o retransmitirlo ya que puede ser un engaño para invadir la red con un virus o para obtener sus claves de acceso y vulnerar la seguridad de los sistemas de la compañía. 2.1.6 No ejecute programas de procedencia desconocida, si el remitente es alguien desconocido o el título del mensaje no es claro para usted o es sospechoso, absténgase de abrirlo y reporte de inmediato la situación a su superior o al Oficial de Seguridad de la Información. 2.1.7 No informe telefónicamente las características técnicas de la Red, sus localizaciones o personas a cargo de la misma. Reporte de inmediato el hecho a la Gerencia de Sistemas o al Oficial de Seguridad de la Información. 2.1.8 Verificar previamente la veracidad de la fuente que solicite cualquier información sobre la localización en tiempo y lugar del Presidente o alguno de los gerentes de la compañía. 2.1.9 Ninguna persona diferentes a las autorizadas por Tecnologías de Información puede instalar parches o ejecutar programas de fuentes desconocidas ya que se puede tratar de un posible virus que pone en riesgo la seguridad de la red de la compañía. 2.1.10 Esté atento cuando un tercero utilizando la psicología de ataque, intente persuadirlo a que incumpla con las políticas de la compañía o entregue información sensible o elementos de un área, argumentando que fue enviado por alguien o que ya tiene la debida autorización. Indague, compruebe, y verifique antes de entregar cualquier cosa o de permitir su acceso a lugares restringidos o a las instalaciones de la compañía. Valide con la fuente ya que puede estar frente a un atacante haciéndose pasar por un reconocido cliente, un antiguo funcionario o fingiendo ser otra persona. 2.1.11 No entregue información relevante de la compañía o de sus Directivos o funcionarios a personas que lo contactan telefónicamente ya que podría poner en riesgo la vida de alguno de ellos o la misma información de la compañía. Si tiene sospechas o intuye que se trata de alguna situación sospechosa repórtela a la Dirección Administrativa o al Oficial de Seguridad de la Información. 2.1.12 No cree usted mismo situaciones de riesgo contando a terceros no autorizados o a funcionarios de otras áreas posibles debilidades de control al interior de los procesos o del sistema, ya que puede ser usado por otros en beneficio propio. El atacante puede estarlo usando sin que usted se de cuenta. 2.1.13 No diligencie electrónicamente o en formatos impresos encuestas que ofrezcan premios o beneficios especiales en las que usted deba registrar sus password o claves. Indague con el Oficial de Seguridad de la Información o comente a su superior el hecho para que se tomen las medidas pertinentes o se evalúe la situación.
2.1.14 No divulgue a sus compañeros de trabajo o a externos información que usted administre y que ha sido clasificada como confidencial o restringida, a la luz de las políticas de Catalogación de Información de la compañía. 2.1.15 Si usted observa comportamientos en sus compañeros de trabajo que puedan estar poniendo en riesgo la información de la compañía, sus activos o la vida o seguridad de otros funcionarios o directivos de la compañía, deberá reportarlo de inmediato a su superior y al Oficial de Seguridad de la Información o a la Gerencia.
3. SANCIONES El incumplimiento a cualquiera de las políticas anteriores puede poner en riesgo la información, los elementos o las personas de la compañía, es por ello que todo funcionario deberá velar porque se cumplan y de detectarse incumplimientos serán reportados al Oficial de Seguridad de la Información quien después de un análisis, determinara si lo entrega a la Gerencia de Recursos Humanos para su evaluación y toma de medidas pertinentes.
CONTROL DE ACCESO AL AREA DE SISTEMAS Y CENTRO DE DATOS
SIS-PO-07 La política de Control de Acceso al Área de Sistemas y Centro de Datos tiene como objetivo garantizar la implementación de sistemas de control de acceso y todos los mecanismos necesarios con el fin de proteger los activos de Tecnologías de Información y la información de carácter sensible que usualmente se maneja en dichas dependencias, el acceso a dichas áreas está limitado a los usuarios estrictamente autorizados. La Gerencia de ADV S.A. y la Coordinación de Soluciones Tecnológicas establecerán las respectivas autorizaciones de acceso al área de sistemas. Es deber de todos los empleados de ADV S.A. y empleados de las oficinas externas cumplir con esta política y con las normas establecidas en la misma.
OBJETIVO
La presente política rige para todos los empleados directos, empleados indirectos, empleados de oficinas virtuales, convenios especiales etc.
ALCANCE
DESARROLLO DE LA POLITICA 1. POLITICA 1.1. La Coordinación de Soluciones Tecnológicas deberá garantizar que exista un Sistema de Control de acceso biométrico o de Tarjeta de Proximidad al Área de Sistemas, todo visitante que ingrese a la mencionada dependencia deberá estar acompañado en todo momento del funcionario responsable de la visita. 1.2. El Ingreso al Centro de Datos está limitado exclusivamente al personal que por razones de tipo laboral requiera acceso, el Coordinador de Tecnología deberá implementar un procedimiento que permita controlar los mencionados accesos y deberá llevar un registro de los mismos.
1.3. Los Centros de Cableado deberán permanecer cerrados y solamente será autorizado el ingreso a los mismos por parte de la Coordinación de Soluciones Tecnológicas, estos podrán ser protegidos con cerraduras convencionales y deberán existir al menos dos copias de las llaves. 1.4. Los Directores Administrativos, deberán garantizar la seguridad de las áreas de cómputo y gabinetes de comunicaciones, controlando los accesos a los mismos y protegiendo los activos de TI, mediante la implementación de los siguientes controles: •
La puerta del Centro de Cómputo o Gabinete debe permanecer cerrada con llave, se deben tener dos copias de la llave localmente y debe enviarse una copia debidamente marcada a la Asistente de Gerencia.
•
Sólo pueden tener acceso al Centro de Cómputo o al Gabinete las personas autorizadas por la Coordinación de Soluciones Tecnológicas y debe existir un listado de estas en la empresa.
POLITICAS DE CATALOGACION DE LA INFORMACION SIS-PO-08 OBJETIVO
ALCANCE
Establecer y dar a conocer las pautas y parámetros a seguir para el manejo de la información que se encuentra en medio físico, magnético (DVD, CD, archivo, Attachment en e-mail) y en carpetas compartidas en el equipo de computo, con el fin de mantener una metodología que permita ejercer un control sobre esta, identificando claramente responsables y dueños de la información de ADV S.A.
A nivel nacional para toda la información de ADV S.A. Esta política adicionalmente contempla aquella información perteneciente a terceros u otras entidades, la cual ha sido confiada a ADV S.A. bajo acuerdos de confidencialidad o contratos. DESARROLLO DE LA POLITICA
1. DEFINICIONES:
1.1 Información No Clasificada: Declarada como pública, puede ser libremente entregada a personas no autorizadas sin causar daño a la compañía. 1.2 Información de Uso Interno: Declarada como de uso exclusivo para los empleados de ADV S.A. y de sus socios de negocio, no podrá ser entregada a terceros. 1.3 Información Confidencial: Es aquella más sensible y que en manos de terceros, puede poner en riesgo el negocio. 1.4 Información Restringida: Declarada como secreta y de uso exclusivo de las personas que ADV S.A. determine como autorizadas. 1.5 Confidencialidad: La información de los sistemas, es accedida solo por usuarios autorizados. 1.6 Integridad: La información de los sistemas, solo puede ser creada y modificada por los usuarios autorizados. 1.7 Disponibilidad: La información siempre está disponible cuando se necesita. 1.8 Acceso a la Información: Para efectos de este manual se refiere a tener la autorización para poder consultar, modificar, borrar o reproducir, el acceso, garantiza la confidencialidad y la integridad. 1.9 Uso de la Información: Para efectos de este manual se refiere a lo que se hace con la información, es pertinente a las responsabilidades y funciones de quien la está trabajando. 1.10 Administración de la Información: Para efectos de este manual se refiere a características tales como cuidado, respaldo, no alteración, acceso, distribución de la información. 1.11 Distribución de la Información: Para efectos de este manual se refiere a los medios, a las personas y a la información misma que puede ser distribuida o enviada a terceros por los que se puede enviar la información.
1.12 Retención de la Información: Para efectos de este manual se refiere al tiempo durante el cual debe conservarse la información, antes de ser desechada o pasada a otro medio. 1.13 Destrucción de la información Para efectos de este manual se refiere a los procedimientos que deben ser aplicados para deshacerse de la información tanto física como magnética, para evitar su posterior lectura o recuperación. 2. Políticas Generales: 2.1.1
Las Gerencias dueñas de la información, deben asociar cada tipo de información pertinentes a sus áreas, en cuatro niveles de catalogación establecidos así: • No clasificada. • De uso general. • Confidencial. • Restringida.
2.1.2
En las políticas de Uso y Manejo de la Información Catalogada deben estar contempladas las políticas que permiten avalar aspectos tales como acceso, uso, administración, distribución, retención y destrucción de la información de ADV S.A. Dichas políticas deben ser diseñadas por las Gerencias dueñas de la Información.
2.2 Políticas Especificas: 4.2.1 La Información Confidencial debe ser protegida en medios seguros, definiendo seguro como el medio que cuenta con las características para evitar que la información se pierda, sea alterada o accedida por personas no autorizadas por ADV S.A. 4.2.2 La Información Confidencial no puede ser distribuida sin las pertinentes autorizaciones. 4.2.3 La retención, backups, custodia y destrucción de la Información Confidencial debe estar cubierta por políticas específicas de Uso y manejo de información catalogada. 4.2.4 La información Restringida debe ser protegida de acuerdo con los parámetros definidos en Uso y manejo de información catalogada. 4.2.5 La Información Restringida no debe ser de conocimiento de personas no autorizadas, ya que es crítico para ADV S.A. y pone en riesgo la operación y objeto social de la compañía.
POLITICAS PARA EL CONTROL DE HARDWARE SIS-PO-09 OBJETIVO
Dar a conocer las políticas relacionadas con la administración y control del Inventario de Hardware y Software de ADV S.A.
ALCANCE
A nivel nacional para todos los equipos y software que han sido adquiridos y asignados directamente a funcionarios de la compañía, los cuales están dentro de los activos de la compañía, además el hardware y software en poder de terceros o intermediarios pero que no hacen parte de los activos de ADV S.A.
DESARROLLO DE LA POLITICA 1. DEFINICIONES 1.1 Software: Es el conjunto de instrucciones electrónicas que indican al PC que es lo que tiene que hacer. Son los programas usados para dirigir las funciones de un sistema de computación o un hardware. 1.2 Inventario: Para el caso de este manual se refiere al conjunto de partes de equipos de cómputo o suministros almacenados para posteriormente ser utilizados.
1.3 Equipo de Cómputo: es un dispositivo electrónico capaz de recibir un conjunto de instrucciones y ejecutarlas realizando cálculos sobre los datos numéricos, o bien compilando y correlacionando otros tipos de información. 1.4 Hardware: Es el conjunto de elementos materiales que constituyen el soporte físico de un equipo de computo.
2.
Políticas Generales: 2.1.1 Se consideran Equipos de cómputo y Software de ADV S.A. Aquellos equipos y software que han sido adquiridos y asignados directamente a funcionarios de la compañía, los cuales se encuentran dentro de los activos de la misma. 2.1.2 La Coordinación de Tecnología es responsable de la administración, manejo y control de los inventarios actualizados de los equipos de la compañía.
2.1.3 El departamento de Tecnologías de Información debe informar a la Gerencia los movimientos de activos que se realicen. 2.2 Políticas Especificas:
2.2.1 Todo equipo que se adquiera debe venir acompañado con la garantía del mismo y una copia de la Orden de Compra.
2.2.2 El Departamento de Tecnologías de Información, es el ente encargado de hacer levantamiento de información de inventarios y de mantenerlo actualizado. 2.2.3 Para los clientes de ADV, el manejo de inventarios será actualizado por el personal de Tecnologías de Información, con el fin de ubicar la tecnología existente en cada cliente de negocios o intermediario, para posibles problemas presentados, cambios, ampliaciones, adiciones y/o retiros de equipos de cómputo. (estos equipos no representan activos fijos de la compañía).
2.2.4 El Departamento de Tecnologías de Información es el único autorizado para realizar cambios de configuración de equipos, retiro e instalación de equipos de cómputo, con previa autorización del Coordinador de Tecnología de ADV S.A., para el control centralizado de los mismos. 2.2.5 El Departamento de Tecnologías de Información debe actualizar en el control de inventarios cualquier adición, retiro, actualización, de equipo de cómputo y/o software, inmediatamente esta actividad se realice. 2.2.6 Los inventarios deben ser actualizados de acuerdo a las solicitudes presentadas por los usuarios y/o servicios requeridos, compras realizadas por ADV S.A., deben ser controladas con el inventario de equipos de computo y/o software, relacionando al usuario a quien será asignado dicho equipo, realizando un acta de entrega formal. 2.2.7 Los reportes de inventarios deben ser manejados bajo el esquema de informes de gestión, entregados por el Departamento de Tecnologías de Información, a la Gerencia General, para el control de los mismos.
2.2.8 Se debe realizar, una auditoría interna de los cambios reportados por el Departamento de Tecnologías de Información, verificando el movimiento de Hardware y Software efectuado, teniendo en cuenta: o
Los equipos que han sido solicitados temporalmente, los cuales una vez cumplido el tiempo determinado de préstamo el Departamento de Tecnologías de Información deberá retirar mediante el formato de movimiento de equipos confirmando el perfecto estado del mismo y actualizando el control de inventarios con el fin de establecer un control de los mismos.
o
Los equipos que han sido reportados por parte del centro de reparaciones del Departamento de Tecnologías de Información y que son sugeridos dar de baja, porque su reparación supera las 2/3 partes del valor total del mismo
2.2.9 El control para la adición y/o retiro de partes de equipos de cómputo, debe realizarse previo requerimiento de las claves de seguridad de los equipos de cómputo. Para las sucursales fuera de la ciudad, los responsables de suministrar las claves de seguridad de equipos de cómputo son los Directores Administrativos quienes deben exigir el diligenciamiento total del formato. 2.2.10 Las órdenes de salida de equipos de cómputo y partes, pueden ser autorizadas, únicamente por el Coordinador de Tecnología. Por cualquier motivo donde no se encuentre la persona autorizada, puede autorizar el Oficial de Seguridad de la Información, con Visto Bueno del Auxiliar Operativo de Sistemas, mediante el “formato de Orden de Salida de Equipos de cómputo y partes”. 2.2.11 En la recepción del edificio de ADV S.A. debe existir una lista de personas autorizadas para sacar equipos de las instalaciones.
2.2.12 Los equipos de cómputo de propiedad de ADV S.A. que se encuentren en manos de terceros no deberán ser movidos del sitio donde se encuentran ubicados para cumplir la función para la que fueron asignados. 2.2.13 El usuario del computador portátil deberá establecer una contraseña de inicio al computador conocida como Contraseña de BOOT, una copia de esta contraseña deberá ser enviada a la Coordinación de Tecnología por medio de un correo electrónico, quien deberá almacenar en un medio magnético dicha información y que deberá permanecer en custodia externa.
2.2.14 El Departamento de TI proveerá soporte a los usuarios que requieran establecer esta contraseña, dicho soporte deberá ser solicitado llamando a la extensión 472 o enviando un correo a la dirección de correo: soporte@adv.com.co. 2.2.15 El computador deberá permanecer en todo momento con la guaya entregada junto con el equipo, durante las noches o ausencias prolongadas, el equipo deberá quedar almacenado bajo llave en los respectivos cajones de los escritorios, evite sacar el computador de las oficinas de ADV si no es estrictamente necesario.
2.2.16 El funcionario que saque de las oficinas de ADV el equipo portátil, deberá comprometerse por el buen manejo del equipo en todo momento, para evitar que se pierda o que se extraiga de el información confidencial para la compañía. 2.2.17 Los funcionarios a los cuáles se les ha asignado un computador portátil deberán entender la responsabilidad que esto implica, por lo tanto en caso de pérdida del equipo atribuible al usuario o por irresponsabilidad de este, ADV S.A. podrá hacer efectivo al funcionario el pago del valor correspondiente al deducible del seguro.
2.2.18 El manejo en los equipos portátiles de la información critica o catalogada como confidencial se debe realizar de acuerdo a la política de “Catalogación de la Información”
2.2.19 El Departamento de Tecnologías de Información deberá borrar la información y formatear los discos de los equipos portátiles cuando estos son rotados de un área a otra.
POLÍTICA DE USO DE CORREO ELECTRÓNICO SIS-PO-10 OBJETIVO
ALCANCE
Proteger los datos e información critica de ADV mediante el establecimiento de políticas y responsabilidades que permitan realizar un uso adecuado del correo electrónico.
La presente política es de aplicación institucional y su carácter es obligatorio para todos los empleados o terceros que trabajen para ADV, que por requerimientos de las funciones que desempeñen dentro de la empresa requieran contar con el servicio de Correo Electrónico en la red de ADV para fines de intercambio o consulta de información, soporte o servicios hacia clientes o proveedores.
DESARROLLO DE LA POLITICA 1. POLÍTICAS Esta política es enunciativa ya que no abarca todos los aspectos en los cuales se pueda incurrir. En este orden de ideas, toda actividad que viole la ley, las regulaciones o las normas aceptadas de la comunidad de Internet, o que perjudique el desempeño de la red, la imagen o las relaciones con los clientes de ADV, así no se mencionen o se incluyan dentro de este documento, se entenderán comprendidas en este, dado que su fin es preservar la integridad y disponibilidad de Correo Electrónico, Internet y de sus usuarios. Generales El correo electrónico es el medio de comunicación, autorizado por ADV para el intercambio de información entre los funcionarios de diferentes departamentos. El correo electrónico es un instrumento o herramienta de trabajo, cuya propiedad corresponde a ADV y cuyo uso se vincula a la existencia de la relación laboral. 1.1.1. Selección de un ambiente de Correo Electrónico Reconociendo las ventajas de un servicio de Correo Electrónico para la compañía y sus trabajadores, ADV a través del Departamento de Soluciones Tecnológicas (DST) debió determinar un ambiente de Correo Electrónico estandarizado que sea además soportado por el DST. Los factores que se tuvieron en cuenta para la determinación son: •
Escalabilidad del sistema de Correo electrónico.
•
Integración con los ambientes estándar de escritorio.
•
Compatibilidad con otros sistemas de Correo electrónico en Internet.
•
Alto nivel de administración.
•
Interfase de acceso vía navegador Web (P.ej. Internet Explorer).
•
Intuitivo y de fácil entendimiento.
1.2. Acceso al Ambiente de Correo Electrónico de la compañía • El acceso a al ambiente Correo Electrónico de la compañía debe estar disponible para todos sus trabajadores de acuerdo a los principios y procedimientos detallados en esta sección. •
El acceso estará disponible tanto dentro de la compañía como en forma remota.
•
Los trabajadores de la compañía deben estar motivados para darle uso al servicio de Correo electrónico pero hay que tener en cuenta que no todos ingresan al Correo electrónico regularmente. Por tanto este no debe ser el único medio para ser contactados.
1.3. Responsabilidades de uso Cada persona que tenga acceso al Correo electrónico proveído por la compañía tiene la responsabilidad de usar dichas facilidades de acuerdo al beneficio común y regulaciones, así como los principios y procedimientos establecidos por la compañía. Cualquier usuario que le de uso indebido a su buzón de correo, le será removida la cuenta. 1.4. Del Servicio • Para permitir que DST mantenga el buen desempeño y la integridad del Correo electrónico de la compañía, los limites de buzón de correo serán definidos por una capacidad de almacenamiento en disco para cada usuario. •
La capacidad de buzón de correo es establecida en 100Mb.
•
Es responsabilidad de cada usuario mantener su buzón con capacidad remanente para recibir correos. Por lo menos el 20% de su capacidad total.
•
El almacenamiento adicional para usuarios individuales debe ser solicitado directamente por el Director del área correspondiente al DST. La solicitud será evaluada y ejecutada por el DST previo a aprobación de la Gerencia de ADV.
•
No permite enviar mensajes que contentan más de cinco sobrepasar los 5 MB.
•
ADV no es responsable de la falla de servicios de terceros.
•
ADV no se hace responsable ni controla la información suministrada por terceros, no garantiza la veracidad, integridad o calidad de la misma.
•
ADV no garantiza que los archivos que se transfieren por la red de Internet estén libres de virus, gusanos, caballos de Troya o demás códigos de infección. El usuario es responsable por la generación o recepción de toda la información realizada por este medio.
•
Para los mensajes de salida que no puedan ser entregados a su destino por error en la dirección externa o desaparición de ésta, se le notifica al usuario el problema y el estatus.
•
Los servicios autorizados por esta política son monitoreados y en cualquier caso, el ejercicio de dichas facultades por parte de ADV, no implica respecto del usuario, la vulneración de sus derechos a la intimidad y a la inviolabilidad de la correspondencia.
(5) anexos, los cuales a su vez no deben
1.5. Restricciones de uso •
Anunciar, enviar, presentar o transmitir contenido de carácter ilegal, atentaría a la dignidad del ser humano, que tenga la potencialidad de ser peligroso, genere pánico económico, social, de salubridad, etc.
•
Crear identidades falsas con el propósito de confundir a terceros.
•
Enviar correo basura, Spam indiscriminado, o encadenado no autorizado o consentido previamente por los destinatarios.
•
Es un deber de los usuarios de ADV utilizar el servicio de correo electrónico de manera adecuada y responsable. El Spamming es una actividad ilegal que no es permitida ni tolerada por ADV.
-
Se define Spamming como la acción de enviar correo electrónico SPAM.
-
Se define SPAMMER como aquel que envía correo SPAM.
-
Se define correo SPAM como el envío de cualquier correo electrónico, masivo o no, a personas (usuarios de ADV y usuarios de otras redes) que incluyen temas tales como pornografía, publicidad, venta de productos, entre otros, los cuales no han sido solicitados por el(los) destinatario(s).
Cuando se habla de envío masivo o no de correo electrónico, ADV lo entiende como el envío de uno o más correos a usuarios que no lo han solicitado, indiferentemente de que las direcciones de correo electrónico de los destinatarios se encuentren en el campo PARA, CC o BCC, del correo electrónico generado. •
El empleado debe obligarse a impedir fugas de información confidencial o secreta o evitar la sustracción o utilización indebida de la documentación en información clasificada o confidencial a la cual tiene acceso y que le corresponde custodiar por razón de su cargo o función.
• Esta estrictamente prohibido, realizar afirmaciones que produzcan pánico general, cualquiera sea su intención (económico, social, político o natural). • Esta estrictamente prohibido utilizar este servicio para hostigamiento o provocaciones de cualquier índole, para la transmisión de material obsceno o pornográfico, así como para el envío de cartas o mensajes que por su contenido puedan degenerar en cadenas de correo. •
Esta estrictamente prohibido el envió y recepción de información confidencial.
•
Está estrictamente prohibido el acceso a este servicio a través de la cuenta de un tercero, así como el préstamo de claves de acceso. Se considera una falta grave el mal uso de las claves de acceso y ocasionará la suspensión definitiva del mismo.
•
El uso de Agentes de Correo Electrónico (Outlook, Outlook Express, etc.) fuera de la compañía estará autorizado únicamente para Gerentes y Coordinadores.
•
El acceso al servidor de correo desde una conexión pública (acceso remoto) por medio de un Agente de Correo (p.ej. Outlook) esta limitado a descargar y ver todo el contenido de su buzón de correo. En caso de tener que enviar un correo es indispensable hacerlo vía Webmail.
•
Los correos que se generen deben, en lo posible, ser cortos, no tener saludos efusivos y solo remitir copias a los usuarios que realmente lo requieran. Al final del mensaje se debe registrar el nombre de quien lo escribe.
Uso de dispositivos Hand Held
•
Solo se permitirá habilitar las funcionalidades de sincronización de correo, contactos y agenda de este tipo de dispositivos a las directivas, cargos medios y personal que autorice la Gerencia por motivos de sus funciones laborales.
•
Estos dispositivos deben tener una contraseña de arranque.
•
Es responsabilidad del usuario velar por la seguridad de la información confidencial contenida en los dispositivos.
•
En cualquier momento estos dispositivos pueden ser revisados por el Oficial de Seguridad Informática para validación de las normas mínimas de seguridad enunciadas en esta política.
POLITICA DE PLAN DE CONTINGENCIA Y CONTINUIDAD DE NEGOCIO
SIS-PO-11 OBJETIVO
Establecer un plan de contingencia y de continuidad de negocio que permita restablecer operaciones en un sitio alterno.
ALCANCE
Aplica para todas las Compañías que soporta ADV S.A.
DESARROLLO DE LA POLITICA Detalles de la política Proceso de preparación de respuestas (PPRe) 1. El proceso de preparación de respuesta permite a la empresa identificar y administrar problemas que pueden afectar a la reputación de la empresa, inclusive casos que afectan a los clientes o empleados. PPRe incluye la identificación de riesgos, evaluación del riesgo, gestión de riesgo y el establecimiento de las respuestas adecuadas y oportunas. 2. Crear un Comité de Seguridad de la Información. Este equipo sirve como la primera línea de contacto para evitar posibles problemas que surjan. El Comité se debe reunir al menos una vez al mes para revisar el potencial de riesgos corporativos y analizar los preparativos para la gestión de problemas de manera oportuna y adecuada. Equipo de Plan de Contingencia a) El Comité realizara una simulación de contingencia al menos una vez al año, y cada unidad de negocio presentará el plan de continuidad de negocio (BCP) para su unidad de negocios respectiva. b) El Comité será presidido por el Oficial de Seguridad de la Información, está compuesto por representantes de los siguientes grupos funcionales: • • • • • •
Finanzas Recursos humanos Confianza (Contabilidad) Priority (Soluciones Tecnológicas) Tecnologías de Información (TI) Otros miembros podrán ser invitados a asistir/participar según sea el caso.
Plan(es) de continuidad del negocio
A. Los planes de continuidad de negocio (BCP) serán examinados y aprobados por el Comité. Deberán ser preparados por cada unidad de negocio, así como para cada filial o instalaciones consideradas en riesgo significativo por el responsable de la unidad de negocio, o conforme a lo solicitado por el Comité.
B. Todo BCP debería desarrollarse utilizando una metodología que incluye el análisis puntual y preciso del impacto probable en condiciones de emergencia sobre el funcionamiento del negocio. Un BCP debe contemplar; o
Identificar los activos importantes, es decir, humanos, intelectual y tangibles.
o
Incluir un análisis de impacto de negocio para identificar y establecer las prioridades de esas funciones y procesos que son críticos para la continuidad de las operaciones de negocios y estrategias;
o
Contener lo siguiente: (a) análisis de impacto de negocio y evaluación el riesgo; (b) las prioridades de procesos de negocio; (c) estrategias de mitigación de riesgos; (d) procedimientos de escalamiento y elementos claves, que identifican los eventos que definan que el plan de contingencia se pone en marcha; (e) la hoja de ruta y recuperación; (f) planificación y compromiso de recursos; y (g) la documentación.
o
Incluir un plan para proteger los activos de la empresa de riesgos identificados anteriormente y preparar una respuesta a esos activos.
o
Proporcionar medidas necesarias para facilitar la reanudación del funcionamiento y devoluciones de activos de la empresa, con impacto mínimo en el negocio, dentro de un plazo realista y de manera rentable.
o
Ensayar para evaluar si se alcanza el nivel deseado de apoyo a los procesos de negocios fundamentales y si el plan se puede implementar en el período de tiempo especificado. En casos donde una prueba a gran escala no es práctica, se debe realizar un examen de las estrategias de contingencias.
o
Ser revisado y actualizado anualmente. Pruebas deberían establecerse de forma rotatoria, para que todas las fases del BCP se revisen cada dos años. Deben incluir versiones: cambios en los procesos críticos del negocio, los riesgos empresariales, tecnología, entre sus principales clientes, proveedores, personal, dirección de empresa y otras. Desarrollar un procedimiento para controlar las actualizaciones para el BCP.